Zusatz zu den Allgemeinen Geschäftsbedingungen
Vertrag zur Auftragsverarbeitung von Daten
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
Auftragnehmer:
chocoBRAIN GmbH & Co. KG
Hans-Bunte-Str. 8
D-69123 Heidelberg
Durch den Vertrag zur Auftragsdatenverarbeitung werden die datenschutzrechtlichen Verpflichtungen der Vertragsparteien konkretisiert. Dieser stellt eine Ergänzung zu den Allgemeinen Geschäftsbedingungen des Auftragnehmers dar, welche durch den Auftraggeber gemeinsam mit den Allgemeinen Geschäftsbedingungen anerkannt und akzeptiert wird.
Präambel
Dem Auftraggeber ist bekannt, dass chocoBRAIN seine Dienstleistungen für eine Vielzahl von Kunden anbietet. Die Möglichkeit des Auftraggebers, ergänzende Weisungen zu erteilen, die die Dienstleistungen von chocoBRAIN für andere Kunden oder Nutzer beeinträchtigt, ist daher durch diesen Vertrag beschränkt. Ein Betrieb von chocoBRAIN unter Berücksichtigung einer Vielzahl von Einzelweisungen des Auftraggebers wäre nicht möglich.
1. Allgemeines
Im Zusammenhang mit der Erbringung seiner Leistungen gegenüber dem
Auftraggeber verarbeitet chocoBRAIN auch personenbezogene Daten für den Auftraggeber im Auftrag. Dieser Vertrag enthält nach dem Willen der Parteien den schriftlichen Auftrag zur Auftragsdatenverarbeitung und regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Datenverarbeitung.
Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird damit allgemein die Verwendung von personenbezogenen Daten verstanden. Eine Verwendung personenbezogener Daten umfasst insbesondere die Erhebung, Speicherung, Übermittlung, Sperrung, Löschung sowie das Anonymisieren, Pseudonymisieren, Verschlüsseln oder die sonstige Nutzung von Daten.
2. Gegenstand des Auftrags
chocoBRAIN stellt einen Abonnement-Dienst zur Verfügung, mit dem sich Nutzer wie der Auftraggeber eine eigene Marketing-Webseite erstellen und betreiben
können. Der bereitgestellte Abonnement-Dienst erlaubt es den Nutzern, selbstständig das Design der eigenen Marketing-Webseite anzupassen, eigene Inhalte einzustellen und Marketing nach den Gesichtspunkten der Inbound-Methodik zu betreiben. Der Gegenstand des Auftrags ergibt sich im Übrigen aus dem zwischen den Parteien geschlossenen Hauptvertragsverhältnis. Dieses beruht auf den Allgemeinen Geschäftsbedingungen von chocoBRAIN, die wirksam in das Vertragsverhältnis zwischen den Parteien einbezogen wurden.
Dieser Vertrag zur Auftragsverarbeitung von Daten gilt ergänzend zu den Allgemeinen Geschäftsbedingungen von chocoBRAIN.
Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:
- Inhaltsdaten, die Besucher von Marketing-Websites des Auftraggebers auf diesen eingeben, etwa Kommentare oder Formulare
- Nutzungsdaten von Besuchern der Marketing-Website des Auftraggebers: chocoBRAIN verwendet diverse Drittanbieterdienste zur Nutzungsanalyse und Aufarbeitung von Statistiken für Nutzer, um damit Optimierungen der Inhalte sowohl des Nutzers als auch des Abonnement-Dienst allgemein zu ermöglichen
- Bestandsdaten von Kunden des Auftraggebers: Name, Anschrift, Bestelldaten und Zahlungsdaten
- Kommunikationsdaten (z.B. E-Mail), die über Drittanbieter gesendet werden, wie z.B. Benachrichtigungen über Anfragen oder der Versand von Newslettern.
Bei den genannten Datenarten handelt es sich um Daten, die regelmäßig bei der
Inanspruchnahme von Leistungen von chocoBRAIN verarbeitet werden. Die Datenarten können abhängig von den jeweiligen vom Auftraggeber in Anspruch genommenen Dienstleistungen von chocoBRAIN abweichen bzw. im Ermessen von chocoBRAIN erweitert werden. chocoBRAIN trägt Sorge dafür, dass die jeweils anzuwendenden Rechtsgrundlagen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten beachtet werden, soweit dies im Verantwortungsbereich von chocoBRAIN liegt. Für die Prüfung der Zulässigkeit der Verarbeitung von Inhaltsdaten (z. B. aus vom Auftraggeber genutzten Formularen) oder sonstigen Daten, deren Verarbeitung der Auftraggeber im Zusammenhang mit der Nutzung seiner Marketing-Websites selbst initiiert hat, ist der Auftraggeber allein verantwortlich.
Kreis der von der Datenverarbeitung Betroffenen:
- Kunden des Auftraggebers
- Besucher der Marketing-Website des Auftraggebers
3. Rechte, Weisungsrechte und Pflichten des Auftraggebers
Der Auftraggeber ist die verantwortliche Stelle für die Verarbeitung von Daten im Auftrag durch den Auftragnehmer. Der Auftraggeber ist als verantwortliche Stelle für die Wahrung der Betroffenenrechte verantwortlich. Betroffenenrechte sind gegenüber dem Auftraggeber wahrzunehmen. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer geltend machen und dies unmittelbar den Auftraggeber betrifft.
Der Auftraggeber kann chocoBRAIN ergänzende Weisungen bezüglich der Verarbeitung personenbezogener Daten erteilen.
Diese Weisungen kann der Kunde vorrangig in seinem Nutzerkonto durch eine entsprechende Konfiguration der Dienste vornehmen.
So können dort z.B. Einstellungen zur Webanalyse vorgenommen werden. Darüber hinausgehende Weisungen sind in Textform (z.B. E-Mail) an chocoBRAIN zu senden. chocoBRAIN wird dann die Umsetzbarkeit der Weisungen unter Berücksichtigung der Interessen an der Funktionsfähigkeit der Abonnement-Dienstes für alle Kunden prüfen und dem Auftraggeber die Kosten für die
Durchführung der Einzelweisung mitteilen. Die Weisung wird dann nach Abschluss einer Kostenübernahmeerklärung umgesetzt.
Der Auftraggeber informiert chocoBRAIN unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer feststellt.
Für den Fall, dass eine Informationspflicht gegenüber Dritten besteht, ist der Auftraggeber für die Erfüllung der Pflichten verantwortlich.
4. Rechte und Pflichten von chocoBRAIN
chocoBRAIN darf die Daten, die im Auftrag des Auftraggebers verarbeitet werden, im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung des Betroffenen dies erlaubt. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung. In jedem Fall darf der Auftragnehmer die im Auftrag verarbeiteten Daten anonymisieren und in anonymisierter Form für eigene Zwecke verarbeiten und nutzen. Als Anbieter von gleichartiger Dienstleistungen für eine Vielzahl von Kunden ist chocoBRAIN verantwortlich für den sicheren und effektiven Betrieb von Marketing-Websites. Der Auftraggeber ist damit einverstanden, dass chocoBRAIN allein Verantwortung trägt für die Datensicherheit der chocoBRAIN-Dienstleistungen und in diesem Zusammenhang auch personenbezogene Daten über Zugriffe auf Server von chocoBRAIN im eigenen Ermessen verarbeiten darf, soweit dies nach dem Recht der Bundesrepublik Deutschland zulässig ist.
chocoBRAIN trägt Sorge dafür, dass die Datenverarbeitung im Rahmen der Leistungserbringung nach dem Hauptvertrag in seinem Verantwortungsbereich, der Unterauftragnehmer nach Ziffer 6 dieses Vertrags einschließt, in Übereinstimmung mit den Bestimmungen dieses Vertrags erfolgt.
Der Auftragnehmer verpflichtet sich, die Datenverarbeitung, soweit diese
abweichend von Ziff. 4, Abs. 1, unmittelbar im Auftrag für den Auftraggeber erfolgt, nur in Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen
Wirtschaftsraums (EWR) durchzuführen oder im Falle einer Verarbeitung von Daten
in einem Drittstaat Regelungen zu treffen, die eine Verarbeitung nach den Datenschutzreglungen der Bundesrepublik Deutschland in zulässiger Weise ermöglicht.
Die Bestellung eines Datenschutzbeauftragten durch chocoBRAIN ist in
Anlage 2
geregelt.
chocoBRAIN trägt durch die Gestaltung seiner Betriebsabläufe Sorge dafür, dass die Daten, die im Auftrag des Auftraggebers verarbeitet werden, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind.
chocoBRAIN wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.
chocoBRAIN ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und / oder die erteilten Weisungen des Auftraggebers unverzüglich mitzuteilen, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist.
chocoBRAIN wird den Auftraggeber zudem unverzüglich informieren, wenn ein Fall einer unrechtmäßigen Kenntniserlangung von Daten vorliegt, der den Auftraggeber unmittelbar betrifft.
5. Kontrollrechte
Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit zu überzeugen. Der Auftraggeber ist verpflichtet, das Ergebnis in geeigneter Weise zu dokumentieren.
6. Unterauftragsverhältnisse
chocoBRAIN darf zur Erbringung seiner Leistungen gegenüber Nutzern des Abonnement-Dienstes Drittanbieter mit der Durchführung von Arbeiten beauftragen, die auch die Verarbeitung personenbezogener Daten umfassen.
chocoBRAIN hat die Drittanbieter sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und chocoBRAIN getroffenen Vereinbarungen einhalten kann. chocoBRAIN hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der chocoBRAIN erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat.
Nicht als Unterauftragsverhältnisse sind Dienstleistungen anzusehen, die chocoBRAIN bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, Post-und Kurierdienste, Transportleistungen und Bewachungsdienste. chocoBRAIN wird gleichwohl Sorge dafür tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten.
7. Datengeheimnis
chocoBRAIN ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung des Datengeheimnisses im Sinne des Rechts der Bundesrepublik Deutschland verpflichtet.
chocoBRAIN sichert zu, dass ihr die jeweils geltenden datenschutzrechtlichen
Vorschriften bekannt sind und sie mit der Anwendung dieser vertraut ist. chocoBRAIN
sichert ferner zu, dass sie die bei der Durchführung der Arbeiten beschäftigten
Mitarbeiter mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut
macht und diese auf das Datengeheimnis verpflichtet werden. Sofern chocoBRAIN im Zusammenhang mit Leistungen für den Auftraggeber an der Erbringung geschäftsmäßiger Telekommunikationsdienste mitwirkt, wird chocoBRAIN die hieran beteiligten Beschäftigten auf das Fernmeldegeheimnis verpflichten.
8. Wahrung von Betroffenenrechten
Der Autraggeber ist ür die Wahrung der Betroenenrechte allein verantwortlich.
Soweit eine Mitwirkung von chocoBRAIN ür die Wahrung von Betroenenrechten - insbesondere au Auskunt, Berichtigung, Sperrung oder Löschung - durch den Autraggeber erorderlich ist, wird chocoBRAIN den Autraggeber hierbei unterstützen. chocoBRAIN wird dem Autraggeber etwaige Mehrkosten ür diese Mitwirkungsleistungen oder Teile hiervon im Voraus mitteilen und diese dem Autraggeber in Höhe des entstandenen Auwands berechnen.
9. Technische und organisatorische Maßnahmen zur Datensicherheit
chocoBRAIN verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind.
Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als
Anlage 1
zu diesem Vertrag beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. chocoBRAIN kann Änderungen an den technischen und organisatorischen Maßnahmen im eigenen Ermessen vornehmen, sofern hierdurch die Einhaltung der Vorgaben der Ziff. 9, Abs. 1 nicht negativ beeinträchtigt wird.
10.Dauer des Auftrags
Der Vertrag beginnt mit Einwilligung in die Allgemeinen Geschäftsbedingungen und wird auf unbestimmte Zeit geschlossen. Er kann von jeder Partei mit einer Frist von drei Monaten zum Ende eines Kalendermonats gekündigt werden. Die Kündigung bedarf der Textform. Das Recht einer Partei zu einer außerordentlichen Kündigung bleibt unberührt.
11.Beendigung
Nach der Beendigung wird chocoBRAIN alle Daten, die ausschließlich im Auftrag des Auftraggebers verarbeitet wurden, löschen, soweit keine Aufbewahrungspflichten für chocoBRAIN bestehen.
12.Schlussbestimmungen
Sollte das Eigentum des Auftraggebers bei chocoBRAIN durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat chocoBRAIN den Auftraggeber unverzüglich zu informieren. chocoBRAIN wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
Für Nebenabreden ist die Schriftform erforderlich. Änderungen und Ergänzungen an diesem Vertragstext sind unwirksam.
Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird.
Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.
Es gilt das Recht des Bundesrepublik Deutschland.
Anlage 1
Technische und organisatorische Maßnahmen von chocoBRAIN
1. Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
Die Büro- und Geschäftsräume von chocoBRAIN sind durch elektronische Schließsysteme
gesichert. Nur berechtigte Personen haben entsprechende elektronische Schlüssel. In den Büroräumen von chocoBRAIN werden nur ein Bruchteil der Daten für den Auftraggeber gespeichert.
chocoBRAIN trägt Sorge dafür, dass nur Rechenzentren zum Einsatz kommen, die den jeweils geltenden Datensicherheitsanforderungen der Bundesrepublik Deutschland genügen.
Alle auftragsbezogen genutzten IT-Systeme befinden sich in Rechenzentren, die chocoBRAIN nutzt. Die von chocoBRAIN verwendeten Rechenzentren sind nach folgenden Standards zertifiziert:
- ISO 27001
- SOC 1 und SOC 2/SSAE 16/ISAE 3402
- PCI Level 1
- FISMA Moderate
- Sarbanes-Oxley (SOX)
2. Zugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Ein Zugang zu den IT-Systemen ist nur nach vorheriger Authentifizierung möglich. Administrationsarbeiten an den IT-Systemen erfolgen grundsätzlich nur über verschlüsselte Verbindungen. Es kommen komplexe Passwörter zum Einsatz.
Für den Schutz der IT-Systeme kommen Sicherheitstechnologien wie Firewalls, DDoS-Vereitelung sowie Schutz vor Spoofing, Sniffing und Port Scanning zum Einsatz.
3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Die Anzahl der Administratoren, die Zugriffsrechte auf die vom Auftraggeber genutzten IT-Systeme haben, ist auf die notwendige Anzahl reduziert. Es erfolgen Protokollierung von Zugriffen auf die IT-Systeme, um eine unberechtigte Nutzung zu erkennen und auszuschließen.
Änderungen an Daten können auf Datenbankebene nachverfolgt werden.
4. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Für die Administration von Servern kommen nur verschlüsselte Verbindungen zum Einsatz. Eine Weitergabe von Daten des Auftraggebers findet grundsätzlich nicht statt. Ausgenommen hiervon sind Fälle, in denen chocoBRAIN aufgrund gesetzlicher Regelungen oder richterlichen Anordnungen zur Herausgabe von Daten verpflichtet ist. Eine Weitergabe von Daten, die auf IT-Systemen von chocoBRAIN im Auftrag des Auftraggebers gespeichert werden, erfolgt ansonsten nur im Zusammenhang mit dem vom Auftraggeber vorgesehenen Betrieb des Abonnement-Dienstes im jeweils technisch erforderlichen Umfang.
5. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Die Eingabe, Änderung und Löschung von Daten kann auf Datenbankebene protokolliert werden.
6. Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Die Bestellung eines Datenschutzbeauftragten durch chocoBRAIN ist in
Anlage 2
geregelt.
Wenn Daten im Auftrag des Auftragnehmers verarbeitet werden, wird dieser den Unterauftragnehmer im Hinblick auf die von diesem getroffenen technischen und organisatorischen Maßnahmen kontrollieren.
Sofern der Auftragnehmer Daten im Auftrag verarbeiten lässt, wird ein Auftragsdatenverarbeitungsvertrag mit dem Drittanbieter geschlossen.
7. Verügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Die von chocoBRAIN genutzten Rechenzentren verfügen über nachfolgende unterbrechungsfreie Stromversorgung (USV), Klimaanlagen in Serverräumen, Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen, Feuer-und Rauchmeldeanlagen, Alarm- und Sicherungssysteme. Es gibt ein Backup-& Recoverykonzept, das die Verfügbarkeit für Daten in hinreichender Weise gewährleistet.
8. Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Alle IT-Systeme, die chocoBRAIN für Auftraggeber nutzt, verfügen über eine applikationsseitige / logische Mandantentrennung, so dass eine Trennung der Daten von Daten, die für andere
Zwecke verarbeitet werden, gewährleistet ist.
Anlage 2
Datenschutzbeauftragter bei chocoBRAIN
chocoBRAIN bestellt einen externen Datenschutzbeauftragten, wenn dies rechtlich notwendig wird und wird dann diese Anlage entsprechend überarbeiten und die Nutzer des Abonnement-Dienstes informieren.
Bis dahin wenden Sie sich an [email protected].